IFG Anfrage
Im Rahmen des IFG können Bürger Informationen von Behörden und damit auch von Landesdatenschutzbehörden erhalten. In diesem Fall wurden Auskünfte über eine Datenschutzprüfung des LDSB Berlin angefragt. Dies ist insbesondere bei den beiden US Public Clouds AWS und Azure zur Zeit höchst spannend.
“Prüfung des Einsatzes von Microsoft Azure und Amazon Web Services bei der Deutschen Bahn”
“Ich bitte diesbezüglich um folgende Informationen:
1. Im Rahmen der Prüfung untersuchte oder durchgeführte Datenschutz-Folgenabschätzungen (DSFA) sowie etwaig durchgeführte vorherige Konsultationen (Art. 35, 36 DSGVO).
2. Im Rahmen der Prüfung untersuchte oder durchgeführte „Transfer Impact Assessments“ (TIA). Sofern solche nicht oder nicht für beide Dienstleister vorliegen: Informationen zu den mit den Dienstleistern getroffenen vertraglichen, technischen und organisatorischen Absicherungen eines Drittlandtransfers, insbesondere (aber nicht nur) hinsichtlich sog. zusätzlicher Garantien im Sinne der Schrems-II Rechtsprechung des EuGH.
3. Interne oder öffentliche Stellungnahmen und Berichte zur durchgeführten Prüfung, insbesondere (aber nicht nur) hinsichtlich etwaiger DSFA und TIA.”
Aussagen des LDSB Berlin
“Zu 1.: Eine DSFA liegt uns nicht vor, und es hat keine vorherige Konsultation stattgefunden.
Zu 2.: TIAs liegen uns nicht vor. In einem Dokument von Mai 2021 (unser Aktenzeichen 511.1133.15) schilderte uns die DB AG, welche technischen und organisatorischen Maßnahmen im Hinblick auf mögliche Drittlandtransfers getroffen wurden.
Zu 3.: Unsere abschließende Bewertung von November 2022, aus der ich eingangs – gebührenfrei – zitiert habe, befindet sich in einem Dokument mit dem Aktenzeichen 511.1133.16.”
“Nach Entscheidung … bietet der vorliegende Sachverhalt keine ausreichenden Anhaltspunkte für einen tatsächlichen Export von Beschäftigtendaten. Es besteht hier lediglich ein geringfügiges Risiko für eine rechtswidrige Datenverarbeitung. Zu berücksichtigen ist außerdem, dass wiederaufgenommene Verhandlungen zwischen den USA und der EU für diesen Fall möglicherweise zukünftige Rechtssicherheit herstellen. Die verantwortliche Stelle wurde abschließend auf die grundsätzliche Problematik möglicher Sicherheitslücken hingewiesen”. (Danke an Herrn Roth für die Zusammenfassung auf LinkedIn)
Kommentar
Diese Aussage gerade vom LDSB Berlin erstaunt etwas, zeigt aber deutlich, dass ein riskobasierter Ansatz möglich ist und auch, dass Azure und AWS mit geringfügigen Risiko für eine rechtswidrige Datenverarbeitung verarbeitet werden können. Leider wurden die genauen Konfigurationen nicht öffentlich, aber diese sind sich im jeweiligen Ansatz denkbar.